Empêcher les fraudes par usurpation de compte (ATO) dans les services bancaires et financiers

23 févr. 2022
-minutes de lecture
Headshot of Maya Ogranovitch Scott Ping Identitys Solutions Architect
Maya Ogranovitch Scott
Senior Product and Solutions Marketing Manager

Introduction

Alors que les clients quittent les banques et les établissements traditionnels de services financiers traditionnels pour adopter des solutions uniquement en ligne, la transformation digitale entraîne de nouveaux défis pour certaines entreprises. Selon une étude menée by Security.org, un tiers des tentatives de connexion à des services financiers et à des établissements financiers dans le monde digital sont suspectées d’être des tentatives d’usurpation de compte. La valeur moyenne des pertes financières dues à des usurpations de comptes sur des comptes financiers s’élevait à environ 12 000 dollars.

 

La fraude par usurpation de compte commence régulièrement par des identifiants compromis ayant été volés, trouvés sur le dark web ou obtenus lors d’attaques de phishing qui piègent les utilisateurs afin qu’ils révèlent leurs informations de connexion aux fraudeurs. Étant donné que les clients réutilisent et partagent leurs mots de passe, le risque de fraude par usurpation de compte augmente de manière exponentielle.

 

Fraudes par usurpation de compte (ATO) dans les services bancaires et financiers

Une fraude par usurpation de compte est réalisée via une série d’étapes, commençant typiquement avec l’utilisation d’identifiants compromis. Le fraudeur commence par apporter de petits changements à un compte, souvent en changeant le mot de passe, pour que le propriétaire légitime du compte ne puisse plus y accéder. Le fraudeur passe ensuite aux transactions financières, notamment des virements, jusqu’à ce que la fraude soit détectée ou que le compte du client ait été vidé. Ce client pourrait nécessiter des mois, voire des années, pour rattraper les dommages causés par les fraudeurs.

 

Dommages collatéraux pour les consommateurs et les institutions

Plus le fraudeur parvient à rassembler de données à caractère personnel (PII), plus il sera facile d’usurper d’autres comptes, notamment des comptes connectés aux partenaires de l’institution. Les fraudeurs peuvent également utiliser les PII pour créer de nouveaux comptes frauduleux en utilisant les informations sur la victime.

 

 

Ce que la fraude par usurpation de compte coûte aux institutions financières

L’impact des fraudes par usurpation de comptes sur les institutions est très vaste, incluant notamment :

  • Les coûts directs de la fraude pour chaque événement.

  • Les coûts d’assistance clientèle et informatiques associés à l’aide apportée aux victimes ainsi qu’aux autres institutions financières et partenaires connectés au compte de la victime.

  • La perte de la valeur vie client (CLV) pour les clients et leurs réseaux d’amis et familiaux qui déplacent leurs comptes vers d’autres institutions.

  • Les pertes résultant des dommages causés à la marque non seulement au niveau de ses clients et de leurs réseaux, mais aussi lors de la diffusion des informations sur les réseaux sociaux ou lors des rapports d’actualité.

Comment l’authentification multifacteur (MFA) permet d’empêcher les fraudes par usurpation de compte

L'authentification multifacteur (MFA) et l'authentification à double facteur (2FA) procurent aux banques et autres institutions financières une couche de sécurité supplémentaire pour empêcher les fraudeurs d’utiliser des identifiants compromis pour accéder aux comptes clients. Certaines institutions financières fournissent également des documents expliquant l’importance de ces mesures de sécurité sur leur site Web.

 

La MFA et la 2FA demandent aux utilisateurs de fournir la preuve de leur identité avec plus d’une catégorie d’authentification dont :

 

  • Connaissance - Quelque chose que je sais. Les mots de passe (la forme la plus faible d’authentification), les codes PIN, les réponses à des questions de sécurité et autres informations personnelles liées au client.

 

  • Possession - Quelque chose que j’ai. Mots de passe à usage unique ou autres jetons non physiques envoyés vers un smartphone ou un autre terminal en possession du client. Les jetons physiques, notamment les terminaux de type USB ou générateurs de codes séparés, entrent également dans cette catégorie.

 

  • Biométrie - Quelque chose que je suis. Les traits dont nous avons hérité sont uniques à chaque individu. Ils peuvent être confirmés en scannant l’empreinte digitale, la reconnaissance faciale, vocale ou de la rétine.

Les fraudeurs possèdent rarement plusieurs types d’authentification, donc l’accès aux comptes leur est refusé.

 

 

L’authentification multifacteur fait partie d’une solution de gestion des identités et des accès client (CIAM) évolutive, destinée aux institutions financières, qui inclut également l’enregistrement, la gestion du compte en libre-service, la gestion du consentement et des préférences, le single sign-on (SSO), le contrôle des accès, les services d’annuaire et les outils de gouvernance des accès aux données. Les solutions de CIAM garantissent une expérience client sécurisée et fluide sur n’importe quel terminal et à tout moment.

 

Regardez cette courte vidéo pour voir à quel point cette procédure est fluide pour les clients.

 

Welcome to the BX Finance User Journey demonstration, where we'll explore 5 use cases Demonstrating how the Ping Identity platform can deliver personalized, Seamless, and secure experiences for your online banking customers.
We'll start at the beginning of the user journey at online customer registration.
Jane is an existing customer of a fictional bank called BX Finance, but has never used their online banking platform.
First, we'll see Jane click the link to register for an online account.
BX Finance uses Ping to collect only the information needed to open an account, With additional information collected later through progressive profiling.
With Ping, all customer data collected is available through REST APIs to use for Personalization and can also be encrypted end to end.
BX Finance also allows customers like Jane to decide how they want to log in at the time of Registration.
Fed up with forgetting passwords?
Jane decides to use her MobileIron device or a one-time passcode.
A choice she can make during login.
To use her MobileIron device to log in, all Jane needs to do is download the BX Finance mobile Application with Ping Technology embedded.
Log in with her username and password for the first and last time.
And trust the device.
Jane is now registered.
And our experience continues to be seamless as she's automatically logged in following Registration.
Next, we'll demonstrate passwordless login and Single sign-on.
Jane clicks to sign in after entering her Username, Jane continues with her ideal login experience using Face ID while taking comfort In knowing that email and SMS one-time passcodes are always there, Just in case.
She submits, taps the customizable Push Notification on her phone, authenticates.
And she's in.
Now that she's signed in, Jane is able to Securely access any BX Finance application integrated with the Ping platform.
As an example, BX Finance provides a chatbot for customer service.
Integrated with Ping, Jane's very first digital interaction can be personalized by provisioning Jane's profile attributes, such as length of time as a customer to the service.
Jane closes the chatbot and continues to explore the website.
Next, we'll demonstrate transaction approval.
Jane navigates toward her next B2B finance experience, online money transfer.
Here, Jane enters the accounts, the amounts, and starts the transfer.
Then she completes it by clicking on the push notification and approving the transfer on a Fully customizable approval screen where the customers can view transaction details before Clicking approve.
Next, we'll demonstrate simple consent.
Management.
Jane navigates to Profile and Settings to view Her marketing communications preferences.
With the click of a button, Jane's preferences for SMS and email can be captured and stored Alongside her profile information, where consents can be enforced before communications Are sent and changed by Jane at any point in time.
Of course, enabling customers to self-manage preferences goes hand in hand with ensuring Those preferences are honored.
Let's flip over to view this scenario from the perspective of an email administrator at BX Finance using a popular email marketing tool.
After performing a quick search, you can see again that Jane's email and phone number are Visible, but her physical address is not.
With Ping, no matter what the request contains, only attributes with associated customer Consent will ever be accessible.
Finally, we'll demonstrate advanced consent management and Partner Identity Management.
Beyond honoring communications preferences, you can offer customers partner-based services while allowing them to choose both the partners they share data with and to what extent.
Here, we see common services like Mint and Zelle, but Jane decides to explore Services From any wealth advisor, a wealth management partner of BX Finance.
After reviewing their services, Jane decides to grant any wealth advisor access to view accounts Data, but only for her savings accounts.
From here, using Ping's federated single sign-on capabilities, Jane can navigate directly to any Wealth Advisor Portal without logging in.
Note that only the details of the account she chose to share are displayed, but also that the page is personalized with relevant profile data provisioned to the third-party service, such as her name in the welcome message and ZIP code for geographically Relevant investment seminars.
Finally, to see how consent is enforced with partners, let's flip over to view this scenario From the perspective of Amy Davis, an employee at any Wealth Advisor assigned to Jane's account.
In this case, any wealth advisor is leveraging The Ping platform for employee single sign-on into custom-built portals at some of the Biggest banks in the world, many of which are Ping's customers.
BX Finance is among these, and Amy clicks to log in.
BX Finance ensures that only certain individuals can access this wealth advisor Portal using Ping's authorization capabilities.
Here, we can see Amy look up Jane by her email address and again see that Amy's view is Limited to the savings accounts shared by Jane earlier.
This concludes our demonstration of how the Ping Identity platform can deliver personalized, Seamless, and secure experiences for your online banking customers.
To learn more, talk to your Account Representative or sign up for a free trial Today.

Conformité aux réglementations pour les services bancaires et financiers

Étant donné que les institutions financières sont réglementées, la réduction des risques de fraude va au-delà des pertes pour les entreprises et les clients. Les réglementations exigent que des solutions soient mise en place pour protéger les données des clients et permettre aux clients de contrôler la manière dont leurs informations sont partagées. Les standards Open banking, la Directive sur les services de paiement 2 (DSP2), la Norme de sécurité de l’industrie des cartes de paiement (PCI DSS) et d’autres réglementations garantissent que les informations des clients soient protégées et stockées dans un environnement sécurisé. Les solutions de gestion des identités et des accès (CIAM) destinées aux institutions financières aident à garantir la conformité aux réglementations.

 

Outils de détection des fraudes en ligne pour les services bancaires et financiers

Si le but ultime est d’empêcher les fraudes, des outils modernes de détection des fraudes en ligne ont été développés pour identifier le comportement anormal des utilisateurs si des fraudeurs parviennent à accéder aux comptes. Les fraudes par ATO peuvent être réalisées en utilisant des méthodes manuelles et/ou automatisées, sachant que l’activité frauduleuse des bots est plus facile à détecter que les activités impliquant des hommes.

 

Les outils de détection des fraudes ont recours à l’intelligence artificielle (IA) pour disséquer des centaines de points de données sur l’utilisateur, incluant les interactions humain-appareil, les attributs du terminal et les activités du compte, pour distinguer les utilisateurs légitimes et les fraudeurs. Étant donné que les comportements automatisés et frauduleux ne suivent pas les mêmes schémas que l’activité d’un utilisateur légitime, l’analyse du comportement et du contexte permet d’identifier les décalages. Les outils de détection des fraudes activés lorsqu’une session commence, peuvent reconnaître cette activité anormale pendant la session et stopper la fraude avant qu’elle n’ait lieu.

 

Regardez cette courte vidéo pour découvrir comment les outils de détection des fraudes en ligne et la MFA œuvrent ensemble pour empêcher les fraudes.

 

As more transactions move online, the cost of online fraud is rising, And fraudsters are getting smarter.
Fraud prevention needs to happen throughout the Customer journey, and it needs to be invisible to legitimate users.
If providers, our customers get it wrong, they risk losing trust.
Market share, and millions of dollars.
With the PingOne cloud platform, fraud detection starts at the first interaction and continues through the entire customer journey.
Fraud signals.
Lead into authentication and authorization Decisions to stop fraudsters from creating accounts, logging in, and completing transactions.
Enterprises can orchestrate multiple fraud signals to ensure that they prevent fraud, But don't create friction for real users.
The PingOne Cloud platform provides actionable intelligence throughout the user journey.
Detection begins before registration and continues through authentication by analyzing Dozens of signals to analyze.
Distinguish real users from bots and bad actors.
These signals help identify bot attacks, new account fraud, and account takeover.
The signals evaluate and mitigate fraud in real time, leveraging dynamic authorization to Safeguard transactions and sensitive data as known users sign on, The Penguin Cloud platform assesses risk and steps up authentication when needed.
Enterprises can even leverage identity verification.
I needed to confirm a user's actual identity.
Multiple fraud signals from Ping and beyond can be orchestrated, Stopping fraudsters in their tracks and delivering extraordinary experiences to real Customers.
Detect fraudulent activity as it happens.
Mitigate risk and shut down fraudsters before loss occurs.
Apply learnings and reinforce your defenses, all while legitimate users transact with ease and confidence.
Partager cet article:
Ressources connexes
Transformer la stratégie CIAM en un centre de profit dans les services financiers
3 juil. 2024
Transformez le CIAM en un centre de profit dans les services financiers pour offrir des expériences numériques fluides et sécurisées
Ping Identity Classé dans le 2023 Critical Capabilities Report
Dustin Maxey
1 déc. 2023
Ping Identity a été classé parmi les deux meilleurs fournisseurs dans chacun des quatre cas d’usage dans le rapport 2023 Gartner Critical Capabilites.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.